Liebesgrüße von FinSpy

, , 3 Comments

Morgan Marquis-Boire arbeitet als Ingenieur bei Google, und Bill Marczak ist Doktorand der Computerwissenschaft an der Berkeley Universität in Kalifornien. Sie finden Spionagesoftware in fünf Kontinenten. Die Spur führt zurück nach Deutschland.

Von Sabine Mohamed

Was sie entdecken, erinnert an Agentenfilme des Kalten Kriegs: hochwertige Überwachungstechnologien, verstreut in 15 Ländern, die meisten davon in autoritäre Regime wie Äthiopien, Bahrain, Syrien, Iran, Turkmenistan, die Mongolei, die Vereinigten Arabischen Emirate aber auch in den Niederlanden zum Einsatz gebracht. Spionagesoftware, die so ausgeklügelt ist, dass von Komplettüberwachung im Netz die Rede sein kann. Es spielt dabei keine Rolle, ob die Überwachten am PC oder „unterwegs“ am Smartphone oder auf Tablets surfen.

Telekommunikationsüberwachung in den Händen von Diktatoren

Es sind nur kleine Datenpakete, Spyware genannt, die die Software installieren, die zur Überwachung und Verfolgung oppositioneller Kräfte eingesetzt werden. Die Auswirkungen sind fatal, berichten Aktivist_innen auf der Konferenz zu „Internet und Menschenrechte“, die im September in Berlin stattfand. Betroffene bekommen die Kontrolle zu spüren, wenn die Internetverbindung „plötzlich“ abbricht, wenn sie in Verhörungen durch Sicherheitsbehörden mit Protokollen ihrer Skype-Gespräche, Chats und E-Mails konfrontiert werden. Unzählige iranische Aktivist_innen sind Berichten von Amnesty International zufolge in Foltergefängnissen des Geheimdienstes und des Innenministeriums verschwunden. Diese Form der Überwachung kann für sie auch den Tod bedeuten, wie etwa für den ägyptischen Aktivisten Khaled Said, der vom Sicherheitsdienst aufgespürt worden war.

Ein Hersteller dieser Spyware ist die deutsch-britische Gamma International GmbH mit Sitz in München. Der Name deren Spyware ist FinFisher. Durch einen USB-Stick, das Anklicken von gefälschten Update-Meldungen, das Öffnen von Anhängen im Postfach oder anderen Wegen kann der Trojaner in fremde Rechner eingeschleust werden. FinFisher stand bereits im März vergangenen Jahres im Rampenlicht. Als ägyptische Aktivist_innen Mubaraks Sicherheitszentrale stürmen, entdecken sie das deutsche Produkt. In Libyen wiederholt sich das Spiel. Im Bunker des Geheimdienstchefs Mutassim Gaddafi werden Angebotsunterlagen diesmal vom Telekommunikationsunternehmen Syborg aus dem Saarland gefunden. Die Deep-Packet-Inspection (DPI) ist ein weiteres Beispiel für ein Verfahren, um alle Datenpakete zu überwachen oder auch zu manipulieren, welches weltweit exportiert wird. Die DPI-Technik kann verglichen werden mit dem Öffnen und Ansehen von Post und Pakten der Deutschen Post, bevor diese überhaupt abgeschickt wird. Ein Hersteller dieser Netzwerktechnik heißt Ipoque, sie kommen aus Leipzig.

Im Juli diesen Jahres wenden sich Aktivist_innen einer Pro-Demokratiebewegung in Bahrain an Bloomberg News, mit der Bitte verdächtige E-Mails zu überprüfen. Die präparierten Nachrichten vermittelten den Anschein, dass sie von einer Al-Jazeera-Korrespondentin kommen. Bloomberg News leitet die E-Mails inklusive der Anhänge zur Analyse an Marquis-Boire und Marczak weiter. Mit ihrem Team, dem citizen lab der Universität Toronto, finden sie heraus, dass der klassifizierte Trojaner mit der Produktbeschreibung von FinFisher Suite übereinstimmt. Die Trojaner sind smart und überlisten Virenschutzprogramme. Im Zusammenhang mit den Menschenrechtsverletzungen, die im Königreich Bahrain insbesondere mit den Protesten von 2011/2012 eine breitere Öffentlichkeit erlangt haben, ist das ein höchst problematischer Befund. Freedom House, eine internationale Nichtregierungsorganisation, klassifiziert den Demokratiestatus des Königreichs mit „nicht frei“ und weist auf die steigende Überwachung und Zensur im Internet hin.

FinSpy ermöglicht mobile Überwachung

Was früher noch als Science Fiction galt, ist mit Produkten wie FinFisher Gegenwart geworden: die Webcam aktiviert sich von selbst, der E-Mail-Verkehr wird mitgelesen, Skype-Gespräche abgehört. Sicherheitsbehörden ebenso wie ihre Regierungen lesen mit, das zeigen die Werbefilme von FinFisher. Beim Apple-Hersteller wurde offenbar eine Sicherheitslücke gefunden, so dass die Spähsoftware auch durch gefälschte iTunes-Updates (ab: 00:42 Sekunden) auf fremde Rechner gespielt werden kann. Seit einigen Wochen ist bekannt, dass mobile Versionen des Trojaners im Umlauf sind. Wieder ein Produkt, das aus dem Hause der Gamma International GmbH kommen soll. Das Produkt heißt FinSpy mobile und betrifft so gut wie alle Anbieter: Android, BlackBerry, iOS, Symbian und Windows Mobile. Diese Version erweitert das Spionageinstrumentarium um eine weitere Dimension. Nach Angaben von citizen lab kann damit die gesamte mobile Telekommunikation überwacht werden. Das reicht vom Abhören von Voice Mails, SMS/MMS, E-Mails, über Live-Überwachung durch stille Anrufe, Download aller Unterlagen (Bilder, Kontakten, Ordner), Ortung des Geräts, komplette Überwachung aller Blackberry Messenger Kommunikation bis hin zum Kontakt zur Zentrale.

Das München-Projekt

Das Geschäft mit den Menschenrechtsverletzungen beginnt mit dieser Technik, weil sie autoritären Regimes ermöglicht, oppositionelle Kräfte aufzuspüren, zu überwachen, zu verfolgen und verschwinden zu lassen. Im Jahr 1942 sind führende Köpfe der Chemie und Physik am streng geheimen Manhattan-Projekt beteiligt. In der Wüste von New Mexico entwickelten sie den Bau der Atombombe. Drei Jahre später kommt der erste nukleare Sprengkörper zum Einsatz. Das heutige „Manhattan“ kann auch Projekt München genannt werden. Dort sitzen die meisten deutschen Firmen, die sich mit der Komplettüberwachung für autoritäre Regime aufrüsten. Entwickler_innen tüfteln für Trovicor, Siemens Nokia Networks, Gamma International an einer Überwachungsarchitektur aller Telekommunikationswege.

Überwachungstechnik made in Germany (Bild: αndrΩ/Flickr)

Auch andere deutsche Unternehmen wie digiTask (Hessen), Syborg (Saarland), Ipoque (Leipzig) und Utimaco (Aachen), mittlerweile beim Finanzunternehmen der Sophos-Gruppe angesiedelt, spielen auf dem globalen Markt der Überwachung mit. Es sind klandestine Operationen, der Einblick wird verschleiert und es ist nicht klar, wo die Software überall im Einsatz ist und ob es überhaupt Filtermechanismen oder Löschfunktionen der gesammelten Daten gibt.

Deutscher Export und Förderungen

Der Export deutscher Spionagesoftware bleibt noch immer undurchsichtig, unreguliert und von der Öffentlichkeit weitgehend unbeachtet. Zwar hat Außenminister Guido Westerwelle sich im Rahmen der Konferenz „Internet und Menschenrechte“ gegen die Auslieferung von deutscher Spionagesoftware an autoritäre Regime ausgesprochen, aber das liegt nicht in seinem Kompetenzbereich. In Fragen der Exportförderung und des -verbots entscheidet das Bundeswirtschaftsministerium (BMWi). Vielmehr hat eine Kleine Anfrage der Bundestagsfraktion Bündnis 90/Grünen ergeben, dass die Bundesregierung sogar den Export von Überwachungstechnologie mit Hermes-Bürgschaften abgesichert hat.

Dabei wird auch mit dem Begriff der Dual-Use-Gütern argumentiert, welches Güter mit einem doppelten Verwendungszweck bezeichnet. Der Einsatz von Telekommunikationssoftware könne sowohl für zivile als auch für militärische Zwecke genutzt werden. Das ist eine Grauzone, weil in Deutschland dafür noch immer keine Kriterienkataloge erstellt worden sind. Die britische Regierung ist da schon etwas weiter. Als Folge der Gamma-Skandale und des Drucks von Menschenrechtsorganisationen will sie den Export des Staatstrojaners FinSpy an Staaten außerhalb der Europäischen Union kontrollieren.

Im Fokus müsse eine konkrete Liste stehen, die die Funktionalität der Dual-Use-Gütern abwäge und nach den Zielländern frage, „handelt es sich um ein Unrechtsregime oder eben nicht“, meint ein Kenner der Materie, der nicht genannt werden möchte. Darin läge die Crux, die sich mit der Frage von Exporten dieser Technik und der Vereinbarkeit mit  den Menschenrechten stelle.

Auf Anfrage von rahmenwechsel, ob das Wirtschaftsministerium einen Kriterienkatalog für den Export von Überwachungstechnik erarbeitet, wird auf höhere Ebenen verwiesen: „Die Bundesregierung wirkt auf internationaler Ebene an den Diskussionen zu einer möglichen Ausweitung des Kontrollregimes für Überwachungstechnik mit und stimmt sich hierzu mit den internationalen Partnern ab.“ Ob Exportkreditgarantien für deutsche Telekommunikationsfirmen, die auch Überwachungstechnik liefern, vergeben werden und an welche, will das BMWi nicht kommentieren aus „Gründen der Schutzes von Betriebs- und Geschäftsgeheimnissen“. Genauso wenig, zu konkreten Summen. Interessanterweise verweist das BMWi auf Nachfrage, dass nach „dem Bund bekannten Informationen in zwei Fällen Exportkreditgarantien für die Lieferung von Telekommunikationsprojekte übernommen wurden, in denen das Exportgeschäft auch Überwachungstechnologie enthielt. Die Importländer waren bei den beiden genannten Geschäften Malaysia und Russland.“ Syrien und Iran werden wohl keine deutschen Exporte dieser Technik erhalten, so lauten zumindest die neuen Regelungen. Aber was ist mit den anderen Ländern?

Die Frage nach einer generellen Linie mit Überwachungs-Tools, insbesondere an Unrechtsregime und inwiefern sie Eingang in Kriegskontrollgesetze erfahren, bleibt ungeklärt. Interne Stimmen sagen, es müssen nationale Regulierungen, was den Export dieser Technik beträfe, her. Der Ball läge nun beim Wirtschaftsministerium, was nicht bedeute das auch Regelungen im europäischen Rahmen stattfinden sollten. Das deutsche Gerede von Menschenrechte bleibt eine Farce, wenn hier zeitgleich komplexe Überwachungstechnologien für Diktaturen hergestellt werden. Genauso wie die fehlenden Exportregulierungen und Förderungen des Wirtschaftsministeriums unter Philipp Rösler für das Projekt München et al.. Es möchte fast Blut an den Händen kleben.

 

3 Responses

Leave a Reply

(*) Required, Your email will not be published